これから携帯がらみのシステムをやりそうなので徳丸 浩さんの
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
をちょっと読んだ。
以下すっごい簡単なメモ
携帯電話向けWebサイトに対する脅威と対策のまとめ
○簡単ログインに対する不正アクセス
携帯IDによる認証をやめ、IDとパスワードによる認証にする。オプションでクッキーによる自動ログインを実装する
○RefererによるセッションID漏洩
以下のいずれかを実施する
・クッキーによるセッション管理に移行する
・外部サイトにリンクしない
・外部サイトにリンクする際にはクッションページをはさむ
○その他セッションID漏洩
利用者がメールでURLを教えることには根本的な対策はない
○ログイン前のセッションIDの固定化
ログイン前にはセッションを有効化しない
○ログイン後のセッションIDの固定化
ログイン直後にセッションIDを変更する
今のところ完璧な対策は無さそうだけどできる限りの対策はしようと言う事で。
詳細は本で・・・。すごくよくまとまっていて分かりやすいので全部読むぞ!
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
posted with amazlet at 11.07.19
徳丸 浩
ソフトバンククリエイティブ
売り上げランキング: 1746
ソフトバンククリエイティブ
売り上げランキング: 1746